AI Act 2026: cosa cambia per le aziende italiane
AI Act (Reg. UE 2024/1689) in vigore dal 1° agosto 2024. Sanzioni fino a €35M o 7% del fatturato. Cosa devono fare oggi le aziende italiane.
Sanzioni fino a 35 milioni di euro o 7% del fatturato globale (Art. 99). L’AI Act, il Regolamento UE 2024/1689, è in vigore dal 1° agosto 2024 e si applica a qualsiasi azienda che usa sistemi di IA in Europa, anche se non ne sviluppa uno proprio. Per la maggioranza delle aziende italiane strutturate l’impatto è operativo adesso.
In sintesi
- L’AI Act divide i sistemi di IA in quattro livelli di rischio; la maggior parte degli strumenti usati dalle aziende ricade in “limitato” o “minimo”, con obblighi più leggeri.
- I sistemi ad alto rischio (selezione personale, scoring creditizio automatizzato) richiedono documentazione tecnica, audit e supervisione umana obbligatoria.
- I divieti assoluti sono operativi da febbraio 2025; gli obblighi per sistemi ad alto rischio scattano ad agosto 2026.
- Sanzioni fino a €35 milioni o 7% del fatturato globale annuo per violazioni dei divieti (Art. 99 Reg. UE 2024/1689); fino al 3% per violazioni degli obblighi dei deployer.
- I costi di adeguamento per un’azienda con sistemi a rischio limitato partono da poche migliaia di euro; per sistemi ad alto rischio si sale a €5.000–€20.000 di audit tecnico-legale.
- La decisione finale su personale, credito e processi critici resta obbligatoriamente in mano a una persona: l’AI Act lo impone per legge.
Che cos’è l’AI Act e a chi si applica
Il 13 marzo 2024 il Parlamento Europeo ha approvato il Regolamento UE 2024/1689, pubblicato in Gazzetta Ufficiale UE il 12 luglio 2024. È il primo quadro normativo al mondo che regola l’IA in modo sistematico. Non è una linea guida volontaria. È un regolamento con sanzioni dirette e applicabili.
Si applica a tre categorie. I provider (fornitori di sistemi di IA), cioè chi sviluppa e mette sul mercato uno strumento, come una software house o una startup. I deployer (utilizzatori del sistema), ovvero le aziende che acquistano e usano strumenti di IA nei propri processi. Gli importatori e distributori che portano tecnologia IA extra-UE nel mercato europeo.
Qui sta il punto che molti imprenditori non hanno ancora metabolizzato: non serve sviluppare IA in proprio per rientrare negli obblighi. Un’azienda italiana strutturata che usa un chatbot (assistente conversazionale automatico) per l’assistenza clienti, un software che filtra i CV in automatico, o uno strumento di previsione della domanda è un deployer ed è nel perimetro del regolamento. Da subito.
Un esempio concreto. Un ecommerce di abbigliamento che integra un sistema di raccomandazione prodotti basato su IA rientra nella categoria a rischio minimo, senza obblighi aggiuntivi particolari. La stessa azienda che usa un software per valutare automaticamente le performance dei magazzinieri e decidere i turni entra invece nel livello ad alto rischio, con obblighi precisi.
Il sistema a quattro livelli di rischio
L’AI Act non tratta tutti i sistemi allo stesso modo. La classificazione per livelli di rischio è il cuore operativo del regolamento: determina cosa devi fare, entro quando, e quanto ti costa non farlo.
Rischio inaccettabile
Sistemi vietati del tutto, operativi da febbraio 2025 (Art. 5 del Regolamento). Rientrano qui il riconoscimento biometrico di massa in spazi pubblici, i sistemi di punteggio sociale usati da autorità pubbliche, la manipolazione subliminale delle persone. Nessun’azienda commerciale dovrebbe usarli. Vale la pena saperlo comunque, perché alcuni fornitori tecnologici extra-UE offrono funzioni che si avvicinano a questi confini.
Alto rischio
Sistemi che incidono su diritti fondamentali o sicurezza (Allegato III del Regolamento). Software per selezione e valutazione del personale, scoring creditizio automatizzato, strumenti sanitari per diagnosi o trattamento, sistemi per l’accesso a servizi pubblici essenziali. Gli obblighi per questi sistemi scattano ad agosto 2026 per i nuovi, con periodo transitorio fino ad agosto 2027 per quelli già in uso.
Rischio limitato
Sistemi che interagiscono con persone senza che queste lo sappiano necessariamente. Chatbot, assistenti virtuali, avatar generati da IA. Obbligo principale: trasparenza. L’utente deve sapere che sta parlando con un sistema automatico. Un hotel che usa un chatbot sul sito per gestire le prenotazioni deve informare esplicitamente il cliente che non c’è un operatore umano dall’altra parte.
Rischio minimo
La grande maggioranza degli strumenti AI usati in azienda: filtri antispam, strumenti di analisi dati, raccomandatori di prodotti. Nessun obbligo specifico aggiuntivo oltre a quelli già previsti dal GDPR (Reg. UE 2016/679), il regolamento UE sulla privacy in vigore dal 2018, vigilato in Italia dal Garante per la protezione dei dati personali. Approfondimenti normativi nella sezione Legal & Compliance dell’Osservatorio.
La distinzione non è sempre immediata. Un’agenzia per il lavoro che usa un software per filtrare i CV è nel livello alto rischio e deve documentare il sistema, garantire supervisione umana e registrare le decisioni. Una clinica privata che usa un software di IA per suggerire appuntamenti di follow-up ai pazienti, invece, dipende da quanto il sistema incide sulla decisione clinica effettiva. Il confine va verificato caso per caso.
Obblighi concreti per chi usa sistemi ad alto rischio
Se la tua azienda usa strumenti di IA per gestire il personale — selezione, valutazione delle performance, pianificazione turni con logiche automatizzate — o per prendere decisioni creditizie sui clienti, sei nel perimetro degli obblighi più stringenti (Capo III del Regolamento). Non è un’eventualità remota: molti gestionali HR moderni includono già funzioni di questo tipo, spesso senza che l’imprenditore ne sia pienamente consapevole.
Gli obblighi principali per i deployer di sistemi ad alto rischio sono cinque. Verificare che il sistema sia conforme prima di metterlo in uso. Garantire che chi lo usa abbia ricevuto formazione adeguata (Art. 26 del Regolamento). Implementare supervisione umana effettiva, non solo formale, sulle decisioni. Conservare i log (registri automatici delle operazioni del sistema) per il periodo minimo definito dal regolamento (almeno 6 mesi). Segnalare all’autorità competente eventuali incidenti gravi.
La supervisione umana non è un dettaglio burocratico. Significa che un responsabile HR non può delegare interamente a un software la decisione di scartare un candidato. Deve poter intervenire, capire il ragionamento del sistema e, se necessario, scavalcarlo. Chi non garantisce questo meccanismo espone l’azienda a sanzioni concrete.
Uno studio legale che adotta un sistema di analisi automatica dei contratti per decidere quali clausole accettare deve documentare come il sistema funziona e assicurarsi che un avvocato riveda ogni raccomandazione prima della firma. Non è burocrazia in più. È la condizione per poter usare lo strumento legalmente.
Sanzioni: quanto costa non adeguarsi
L’Art. 99 del Regolamento UE 2024/1689 fissa un sistema sanzionatorio a tre livelli, calcolato sul fatturato globale dell’esercizio precedente o su importi fissi (si applica il maggiore dei due).
| Violazione | Articolo | Importo fisso | % fatturato globale | Esempio azienda €5M |
|---|---|---|---|---|
| Divieti assoluti (sistemi a rischio inaccettabile) | Art. 5 | €35.000.000 | 7% | €350.000 |
| Obblighi sostanziali alto rischio (deployer/provider) | Artt. 16, 26 | €15.000.000 | 3% | €150.000 |
| Informazioni inesatte ad autorità competenti | Art. 99 | €7.500.000 | 1% | €50.000 |
Si applica il maggiore fra importo fisso e percentuale (per l’azienda da €5M, vince la percentuale). Per piccole aziende e startup l’Art. 99(6) prevede l’importo più basso fra i due, riducendo l’esposizione massima — ma resta rilevante: una violazione alto rischio per un’azienda da €5M costa fino a €150.000.
L’autorità nazionale di vigilanza in Italia è in fase di designazione presso l’AgID e il MIMIT (Ministero delle Imprese e del Made in Italy). Un sistema di vigilanza coordinato tra Garante Privacy, AgID e Banca d’Italia copre i diversi ambiti applicativi.
Costi reali di adeguamento
Per un’azienda con sistemi a rischio limitato, i costi si misurano in alcune migliaia di euro: revisione dei testi informativi, aggiornamento della privacy policy, eventuale consulenza legale puntuale. Niente di insostenibile, se fatto con anticipo.
Per sistemi ad alto rischio i costi salgono. Un audit tecnico-legale di un sistema di selezione del personale può costare tra i 5.000 e i 20.000 euro a seconda della complessità, a cui si aggiungono documentazione continuativa e formazione del personale. Le stime variano molto in base al fornitore e al livello di documentazione già disponibile dal suo lato.
Esistono strumenti di supporto. Il PNRR (Piano Nazionale di Ripresa e Resilienza, il piano italiano di investimenti finanziato dall’UE) include misure per la digitalizzazione delle aziende che possono coprire parte dei costi. Il MIMIT ha attivato sportelli informativi sulla normativa AI; alcune Camere di Commercio hanno seguito a livello regionale. Vale la pena verificare cosa è disponibile nella propria regione prima di avviare spese in autonomia. Per chi parte da zero, la nostra guida AI Literacy copre i fondamenti operativi.
Il primo passo concreto non costa nulla: chiedi al tuo fornitore di software AI una dichiarazione scritta su quale categoria di rischio rientra il suo prodotto e quali obblighi di compliance ha già soddisfatto dal suo lato. Ti dà una mappa della situazione reale in pochi giorni.
Il lavoro cambia: AI e gestione del personale
L’uso di strumenti di IA nella gestione delle risorse umane introduce obblighi di informazione verso i lavoratori e vincoli precisi sulle decisioni automatizzate. Il Decreto Trasparenza (D.Lgs. 104/2022) — anche detto “Decreto Trasparenza” — già imponeva obblighi informativi per sistemi automatizzati nella gestione del rapporto di lavoro; l’AI Act ne rafforza la portata. Per chi vuole capire il nostro approccio editoriale, abbiamo descritto come funziona l’Osservatorio.
Un lavoratore ha il diritto di sapere se una decisione che lo riguarda è stata presa o fortemente influenzata da un sistema automatico. Ha il diritto di chiedere una revisione umana. L’azienda deve essere in grado di spiegare la logica del sistema usato, almeno a grandi linee.
Questo non significa che non puoi usare software HR con componenti AI. Significa usarli con consapevolezza. Un’azienda manifatturiera con 40 dipendenti che usa un gestionale HR con funzioni di analisi automatica delle presenze deve aggiornare il proprio regolamento interno e informare i lavoratori dell’uso di questi strumenti. Non è facoltativo.
Scadenze operative: riepilogo
| Obbligo | Scadenza |
|---|---|
| Divieti assoluti (sistemi vietati, Art. 5) | Febbraio 2025 |
| Obblighi GPAI (General Purpose AI, ovvero sistemi di IA ad uso generale come i grandi modelli linguistici) | Agosto 2025 |
| Obblighi per sistemi ad alto rischio (nuovi) | Agosto 2026 |
| Obblighi per sistemi ad alto rischio già in uso | Agosto 2027 (periodo transitorio) |
| Obblighi per sistemi a rischio limitato (trasparenza) | Agosto 2026 |
La finestra temporale esiste. Non è infinita. Avviare oggi una mappatura degli strumenti AI in uso in azienda, quali sono, chi li fornisce, che decisioni supportano, è il lavoro preliminare che rende tutto il resto più rapido e meno costoso.
Domande correlate
L’AI Act si applica anche se uso solo ChatGPT o strumenti simili?
Dipende dall’uso. Se usi ChatGPT per bozze di testo o brainstorming interni, sei in rischio minimo. Se lo integri in processi decisionali su personale o clienti, la classificazione può cambiare. Verifica caso per caso con il tuo consulente legale.
Cosa rischio se non mi adeguo entro le scadenze?
Le sanzioni previste dall’Art. 99 del Reg. UE 2024/1689 arrivano fino a €35 milioni o 7% del fatturato annuo globale per violazioni dei divieti assoluti, fino al 3% per violazioni degli obblighi dei deployer. Per piccole aziende e startup l’art. 99(6) applica l’importo più basso fra fissa e percentuale.
Il mio fornitore SaaS deve adeguarsi lui, non io?
Parzialmente. Il fornitore (di Software as a Service, software in abbonamento su cloud) ha i suoi obblighi, ma tu come deployer hai obblighi separati: verificare la conformità del sistema prima dell’uso, garantire supervisione umana, formare il personale (Art. 26). Non puoi delegare tutto al fornitore.
Esiste un modo semplice per capire se i miei strumenti AI sono ad alto rischio?
L’Allegato III del Regolamento elenca gli ambiti ad alto rischio. In sintesi: se lo strumento prende o supporta decisioni su persone fisiche in ambito lavoro, credito, salute o accesso a servizi pubblici, probabilmente rientra nella categoria. Chiedi conferma al fornitore per iscritto.
Ci sono agevolazioni per i costi di adeguamento?
Alcune misure PNRR e fondi regionali coprono costi di consulenza e formazione per la digitalizzazione delle aziende. Il MIMIT ha attivato sportelli informativi. Verifica le disponibilità aggiornate sul sito ufficiale del MIMIT.
Fonti:
- Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio — testo ufficiale italiano (EUR-Lex) — fonte primaria, consultata maggio 2026
- European Commission — AI Office, policy hub ufficiale — consultato maggio 2026
- Garante per la protezione dei dati personali — sezione Intelligenza Artificiale — consultato maggio 2026
- MIMIT — Ministero delle Imprese e del Made in Italy — sportelli informativi AI/aziende
- Regolamento (UE) 2016/679 — GDPR, testo ufficiale
- UE approva AI Act: novità e impatto sulle imprese italiane — Agenda Digitale — accesso luglio 2025
- Intelligenza artificiale e rapporto di lavoro: novità legislative e opportunità — IPSOA — accesso maggio 2026
Vuoi capire come applicarlo alla tua azienda?